Velkommen  

Artikler og værktøjer

Kurser

Nyheder

Får du ikke allerede vores nyhedsmail, kan du tilmelde dig her.


19-06-2020
Håndtering af datasikkerhedsbrud, hvis uheldet er ude

Databeskyttelsesreglerne stiller krav om, at alle dataansvarlige som udgangspunkt skal anmelde brud på persondatasikkerheden til Datatilsynet inden for 72 timer. For at kunne håndtere et brud på persondatasikkerheden skal du først være i stand til at genkende et.

 

Eksempler på sikkerhedsbrud kan være:

  • Andre personer end den eller de personer hos den dataansvarlige, der er autoriseret til det, får adgang til personoplysninger.
  • Videregivelse af personoplysninger til uvedkommende.
  • Brud på den dataansvarliges server, hvor uvedkommende har fået indsigt i personoplysninger.
  • Tab eller tyveri af PC, telefon, USB-stik o.l. indeholdende personoplysninger, og hvor der ikke er truffet sikkerhedsforanstaltninger med stærke passwords, kryptering mm.

 

Hvornår skal sikkerhedsbrud anmeldes

Som udgangspunkt skal alle brud på persondatasikkerheden anmeldes til Datatilsynet. Det er kun, hvis det er usandsynligt, at bruddet på persondatasikkerheden indebærer en risiko for fysiske personers rettigheder eller frihedsrettigheder, at der ikke skal ske anmeldelse.

 

Ved vurderingen af, om et sikkerhedsbrud skal anmeldes til Datatilsynet, skal der lægges vægt på bl.a. følgende:

  • typen af sikkerhedsbruddet
  • oplysningernes art og omfang
  • risikoen for, at registrerede kan identificeres
  • de konsekvenser, bruddet kan have for de registrerede,
  • hvorvidt bruddet omfatter særlige kategorier af registrerede og
  • antallet af berørte fysiske personer

Hvis den dataansvarlige har været hurtig til at gribe ind og standse et sikkerhedsbrud, så bruddet ikke har nået at få konsekvenser for de berørte personer, kan det overvejes, at der ikke skal ske anmeldelse til Datatilsynet.

 

Den dataansvarlige skal kunne bevise, at det er usandsynligt, at bruddet har fået konsekvenser for de berørte personer. I tvivlstilfælde anbefales det derfor at anmelde bruddet til Datatilsynet.

 

Uanset anmeldelse eller ej er det som dataansvarlig vigtigt, at være forberedt og at have en procedure for håndtering af datasikkerhedsbrud. Det er i den forbindelse vigtigt, at registrere datasikkerhedsbrud. Som eksempel på et dokument, der kan bruges til en sådan registrering, se dette skema udarbejdet af Danske Advokater:

Skabelon til brug for intern dokumentation ved brud på persondatasikkerheden

 

Husk at manglende efterlevelse af reglerne om anmeldelse af brud på persondatasikkerheden til Datatilsynet kan resultere i, at Datatilsynet f.eks. udtaler kritik eller udsteder et påbud til den dataansvarlige. Afhængigt af omstændighederne i hver enkelt sag kan der imidlertid også blive tale om at sanktionere den manglende efterlevelse af reglerne med bøde.

 

Underretning af den registrerede

Hvis et sikkerhedsbrud indebærer en høj risiko for fysiske personers rettigheder og frihedsrettigheder, skal den dataansvarlige ikke alene foretage anmeldelse til Datatilsynet, men også underrette den registrerede om bruddet. Gør den dataansvarlige ikke dette, har Datatilsynet mulighed for at gå ind i sagen og kræve, at den dataansvarlige foretager underretning af den registrerede.

 

Der er mange ting, man som dataansvarlig skal være opmærksom på i tilfælde af sikkerhedsbrud, og derfor kan det være en god ide, at man har en procedure på plads, inden uheldet er ude.

Datatilsynet har udgivet en vejledning om håndtering af sikkerhedsbrud

Datatilsynet har udgivet en række råd til at undgå simple sikkerhedsbrud

 

Sikkerhedsbrud kan anmeldes via Virk.dk.

 

Hvis du har spørgsmål eller kommentarer, kan du kontakte juridisk konsulent, Mette Fjord Kristensen på tlf. 33 43 70 14 eller mfk@danskeadvokater.dk.


Steen Hermansen
Steen Hermansen | Digitaliseringschef | 33 43 70 21 | she@danskeadvokater.dk


Kontakt

Steen rådgiver medlemsvirksomheder i køb af it, har kendskab til leverandørerne af it-systemer og er i tæt dialog med domstolene ved udrulning af nye digitaliseringsprojekter.


Han er vores spidskompetence vedrørende it-relaterede emner som den digitale retsproces, digital tinglysning, sikker mail med retterne, ejendomsdatarapporter, cloud computing m.m.


Steen afholder løbende undervisning inden for it-relaterede emner.

Læs mere…

33 43 70 21